“紫萝卜”经过加壳处理下载多种木马

今日提醒您注意：在今天的病毒中Worm/AutoRun.ahh“U盘寄生虫”变种ahh和TrojanDownloader.Zlob.izo“紫萝卜”变种izo值得关注。

病毒名称：Worm/AutoRun.ahh

中 文 名：“U盘寄生虫”变种ahh

病毒长度：15072字节

病毒类型：蠕虫

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Worm/AutoRun.ahh“U盘寄生虫”变种ahh是“U盘寄生虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“U盘寄生虫”变种ahh运行后，在被感染计算机系统的根目录下释放一个恶意驱动文件“zzz.sys”。感染系统文件“spoolsv.exe”，向其写入可执行代码，实现“U盘寄生虫”变种ahh开机自启。删除被感染计算机系统中的“QQDoctorMain.exe”和“QQDoctor.exe”（QQ医生程序文件），达到自我保护的目的。关闭某些安全软件，防止被查杀。在被感染计算机系统的后台调用IE浏览器进程，利用系统IE进程连接骇客指定远程服务器站点“http://www.*zfw*.c*/Config.txt”，获取其它恶意程序的下载地址列表，然后下载列表中的所有恶意程序，并自动调用安装运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。在所有盘符根目录下创建“autorun.inf”文件和蠕虫主程序文件，达到双击盘符启动“沃忒客”变种d运行的目的，具有利用U盘、移动硬盘等存储设备进行自我传播的功能。另外，“U盘寄生虫”变种ahh可能会在后台感染用户计算机系统中的可执行文件和网页文件等。

病毒名称：TrojanDownloader.Zlob.izo

中 文 名：“紫萝卜”变种izo

病毒长度：110080字节

病毒类型：木马下载器

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

TrojanDownloader.Zlob.izo“紫萝卜”变种izo是“紫萝卜”木马下载器家族的最新成员之一，采用VC++ V7.0-8.0编写，并经过加壳处理。“紫萝卜”变种izo运行后，在被感染计算机后台连接骇客指定站点“http://bo*.gr*b*k*.com/exe.php?ex=6*82”，下载恶意程序并在被感染计算机上自动调用运行，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带来不同程度的损失。强行篡改IE浏览器设置，降低被感染计算机的安全性。另外，“紫萝卜”变种izo很可能与骇客指定的服务器建立网络连接，侦听骇客指令，进一步威胁用户计算机信息安全。

针对以上病毒，江民反病毒中心建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

4、江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，完全保护计算机系统安全。

5、禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法：

在运行中输入 gpedit.msc 后回车，打开组策略编辑器，依次点击：计算机配置－＞管理模板－＞系统－＞关闭自动播放－＞已启用－＞所有驱动器－＞确定

6、使用U盘进行数据文件存储和拷贝时，打开计算机系统中杀毒软件的“实时监控”功能，避免病毒文件入侵感染。

7、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。

8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp.(江民网)